MOO:简析NFT交易平台的发展历程及4F评估模型_MOOV币

作者：

时间：

NFT 聚合平台如何促进行业发展？

早在 2016-2018 年，以 OpenSea，MakersPlace，SuperRare 为代表的第一批 NFT 交易市场横空出世。在那时，有一部分交易平台使用了邀请制，只有受邀的艺术家才可以进行创作和发行。而随着市场的发展，有越来越多的 NFT 交易平台进入大家的视野，这些平台融入了更多金融的玩法和元素，包括 NFT AMM 市场，去中心化的市场，租借质押市场等。在文章中，我们将探索 NFT 交易平台的发展历程，以及如何用 4F 模型评估一个好的交易平台。

在某种程度上，NFT 交易平台反映了 NFT 整个市场的热点变迁，在 2021 年年初，通过社媒放大话语传播和艺术家聚焦效应，诸如 Beeple 高价 NFT 作品拍卖成为市场热点。在那个时候，NFT 往往围绕着艺术和艺术家，多数交易平台只会挑选和邀请有一定名气的创作者进驻创造 1/1 的艺术品。

安全团队：获利约900万美元，Moola协议遭受黑客攻击事件简析:10月19日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，Celo上的Moola协议遭受攻击，黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析，结果如下：

第一步：攻击者进行了多笔交易，用CELO买入MOO,攻击者起始资金（182000枚CELO）.

第二步：攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑，攻击者抵押了价值a的MOO，可借出价值b的CELO。

第三步：攻击者用贷出的CELO购买MOO，从而继续提高MOO的价格。每次交换之后，Moo对应CELO的价格变高。

第四步：由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断，导致用户之前的借贷数量，并未达到价值b，所以用户可以继续借出CELO。通过不断重复这个过程，攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步：攻击者进行了累计4次抵押MOO，10次swap（CELO换MOO），28次借贷，达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源，根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时，通过Beosin Trace追踪发现攻击者将约93.1%的所得资金返还给了Moola Market项目方，将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

NFT 本身也有 Banksy 等街头艺术家所代表的风格，重复粘贴的画报，突出夸张的笔触，迎面而来的文化冲击，以及最重要的——个性，换句话说，identity。

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

虽然我们没办法在洛杉矶的街巷中涂满整面墙壁，但我们可以将所认同的文化通过 meme 铺向整个网络。街角的涂鸦有可能第二天会被警察用白漆盖住，而存储在 IPFS 上的 NFT，永远都会在那里。

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

因此，NFT 便不停留在艺术的单品交易本身，而是以集合方式进行交易，meme 渐渐成为社区，成为品牌。由此，我们可以看到，OpenSea 远远超过了在 16-18 年同一时期的其他交易平台。与此同时，由于 NFT 交易的火热，也诞生了很多其他的交易市场。

慢雾：Avalanche链上Zabu Finance被黑简析:据慢雾区情报，9月12日，Avalanche上Zabu Finance项目遭受闪电贷攻击，慢雾安全团队进行分析后以简讯的形式分享给大家参考：

1.攻击者首先创建两个攻击合约，随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币，并将获得的SPORE代币抵押至ZABUFarm合约中，为后续获取ZABU代币奖励做准备。

2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币，随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取)，而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量，而不是记录合约实际收到的代币数量，但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。

3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷，从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的，因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。

4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励，随后便对ZABU代币进行了抛售。

此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的，此类问题导致的攻击已经发生的多起，慢雾安全团队建议：项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化，而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]

但之后，NFT 市场又有了新的演化。热点下总会有机会，NFT 市场也有从众效应。FOMO, FUD 等一系列圈内黑话应运而生。除了社区和传播属性，NFT 同时也是一种资产。很多人发现了机会——通过拿白以及 Flip NFT 赚钱。因此，市场上出现了一系列数据分析工具，比如 NFTGo.io, rarity.tools 等。这些工具不仅为买卖 NFT 增加了一定的胜算，也创造了市场上新的范式和玩法。

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现：在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

市场中用户的需求变化也出现了变化，比如，如何在所有大大小小交易市场中找到最低的报价？如何选择最有价值的 NFT？NFT 交易市场也从 1.0 的版本转向了 2.0——一个兼具数据分析和聚合交易的 NFT 平台。

谷歌聚合了来自网站的内容，Facebook 聚合了社交关系，DEX 聚合了不同的流动性挖矿模型。聚合器不仅能够帮助用户更多捕获区块链时代的大部分价值，同时也是 NFT 生态系统不可或缺的一部分。

一般来说，NFT 主要创建在以太坊、Flow 和 BSC 等各种链上，每个链都有一个孤立的协议生态系统。同时，当前有各种各样的交易市场出现。尽管这些市场提供了多样化的 NFT 服务，但在交易和查找 NFT 信息时会带来一定的挑战，一方面，新来者可能不知道如何找到最好的市场，专业交易者可能希望找到最优的价格。另一方面，不同的市场有不同的界面，这也增加了用户的学习成本。

想象一下，你想搜索市场上热门 NFT 项目的最优报价，可能需要在不同的市场之间切换才能查看所有 NFT。或者，如果您是投资者，想要查看 NFT 市场的所有最新数据和各种指标。由于 NFT 信息如此分散，可能需要几分钟才能获取本应在几秒钟内找到的数据。

对于那些不熟悉 NFT 的人来说，他们经常花费大量时间搜索内容，但最终却没有任何有用的信息。因此，专业的 NFT 聚合器非常重要。

NFT 聚合器是将各大链上的各类 NFT 交易信息集中到一个地方，为用户节省时间，提高效率，从而实现更好的交易体验。

通过 NFTGo 的「一站式」NFT 聚合服务，用户只需要打开一个网页，就可以总览 NFT 市场全貌，了解最新流行趋势，查找，搜索和交易关于 NFT 的一切。

衡量一个好的 NFT 交易市场有几个方面，我们称之为 4F 模型，分别是 Fluency, Fees, Function and Finance。

Fluency 是指交易和使用体验的流畅度，是否可以一键购买想要的 NFT，是否有清晰的交互界面和用户逻辑，是否有可视化的功能。NFTGo.io 拥有功能全面的搜索引擎，支持用户使用元数据 Metadata，甚至是自然语言进行 NFT 搜索。强大的搜索算法与排序逻辑，大大提高了用户的搜集信息的效率，也丰富了搜索结果的呈现维度。同时，用户可以批量扫地板，安全交易模式下能够防止攻击和浪费 Gas 费。

Function 是指功能是否全面且切中需求。比如是否有 Filter 功能，可以让用户快速找到他们想要的 trait 和条件。同时，产品可以帮助用户分析比较当前不同的交易平台的报价，进而选择一个最低的价格，并将想要购买的 NFT 一同添加到购物车中购买。用户不仅可以看到各种交易平台上的价格，找到最低报价。还可以批量购买 NFT，同时能够了解当下 NFT 数据或行情。

Fees 是指交易费用，众所周知，购买 NFT 时除了本身的价格，还有版税和手续费。是否可以省去 gas 费，或是可以从多个市场获取报价，从而用户可以得到最优价格。

Finance 是指收益回报。如果用户希望成功 Flip NFT，一般需要通过数据和热度作出投资决定。在为用户呈现最全面数据的同时，NFTGo.io 也为用户提供了便捷的数据分析工具。用户不仅可以一览当下最火热的 NFT 项目和市场情况，还能够轻松地比较各种 NFT 之间的差异，例如巨鲸持仓，持有人数分布等。值得一提的是，NFTGo 还能够自动检测清洗交易，防止买到可疑 NFT。

综上所述，NFT 聚合平台将 NFT 信息集中到一个地方，用户可以优化他们的购买体验。在不使用聚合器的情况下，用户必须单独访问各个 NFT 交易所，注册信息，查看每个交易所的各自的 NFT。不管是对于希望入门 NFT 世界的爱好者，还是对于 NFT 领域的分析专家，NFT 聚合交易将为用户打开了一扇通往 NFT 未来的大门。

在未来，随着 Metaverse 和链游的成熟和发展，将会出现更多游戏内的 NFT，动态 NFT，甚至可交互的 NFT。数字资产交易或将成为人们的刚需，就像是我们日常在网上买卖商品一样。与此同时，NFT 金融化和衍生品市场的蓬勃增长也将促进交易平台的持续演化。

原文标题：《盘点 NFT 交易的过去，现在和未来》

原文作者：Vivian

来源：星球日报

Odaily星球日报

媒体专栏

阅读更多

财经法学

金色早8点

链捕手

PANews

Bress